IoTセキュリティ検証でなぜファームウェア解析調査が必要なのか、8年の実績から見えたこと

こんにちは、ペネトレーションテスト^※を提供しているデジタルペンテスト部の藤原です。

※ 疑似攻撃を用いて、調査対象に対して「攻撃者の目的」が達成できてしまうか実証するテスト

デジタルペンテスト部では、IoTデバイスやIoTシステムのセキュリティ対策の有効性や影響を検証する「IoTデバイスペネトレーションテスト」を提供しています。このサービスは、通信ネットワーク機器や車載ユニット、IoT Gatewayなど、様々なIoTデバイスに対して実施しています。

そんなサービスの実施内容の1つである「ファームウェア解析」の必要性について解説します。

IoTデバイスペネトレーションテストの相談を受けたら

最初にIoTデバイスやIoTシステムのセキュリティ検証として、IoTデバイスペネトレーションテストの相談を受けた時のラックの対応について説明します。

① お客様の相談内容についてヒアリングする打ち合わせを実施します。これにより、対象デバイス及びシステム構成の概要を、可能な範囲で確認します。ラックのエンジニアが内容を把握して、次の②、③を検討します。

② 攻撃者が侵入を考えるポイントについて検討します。
例えば、侵入ポイントは次のような部分になります。

③ 各侵入ポイントから侵入された場合、どのような脅威が想定されるかを検討します。
例えば、次のような脅威が考えられます。

④ ③までを踏まえた上で、検討したテスト内容、スケジュール、概算費用とともに提案書にまとめて提出します。

⑤ 提案書を提出後、その内容について説明する打ち合わせを開催します。その際に、お客様から「ファームウェア解析調査がなぜ必要なのか」という質問を受けることが多いです。

そこで、この記事では、IoTデバイスペネトレーションテストにおいて実施する「ファームウェア解析調査がなぜ必要なのか」について、これまでに多くのIoTデバイスとそのシステムに対応した実績に基づいて、説明しましょう。

IoTデバイスペネトレーションテストにおいて、潜在している脆弱性を見つけるために実施する調査の例として、次のものがあります。

これらの調査結果から、点と点を結んでいくようなイメージで、IoTデバイスを含むシステム全体を把握していきます。そして、脆弱性となり得る問題が存在するか調査し、想定した脅威が現実のものになり得るものなのかを検証します。

これまでに約8年間、多くのIoTデバイスに対するペネトレーションテストを実施した実績から、検出された問題点を集計してみました。その結果、興味深いことが分かりました。

脆弱性となった問題の原因は、大きく次の3つに分けることができました。

そして、これらの割合は、おおよそ、設計：20、実装：75、デバッグ機能の削除忘れ：5となることが判明したのです。

すなわち、多くの脆弱性は機能の実装であるプログラミングにより作りこまれていることが分かりました。約8年間の実績から、デバッグ機能の削除し忘れを含めると、約8割がプログラミングに原因がありました。

例としては、次のようなものがありました。

IoTデバイスペネトレーションテストを実施するにあたり、お客様からファームウェアを提供していただき、解析して調査します。

その必要性としては2つの理由があります。

1つは、前記のように、実装により作りこまれた脆弱性の存在を調査するためです。
攻撃者は必ずファームウェアの解析を試みます。
もう1つは、攻撃者と同様に、不正なデータ送信を試行することで脆弱性を想定し、問題を検証するためには非常に時間がかかるからです。ファームウェアを提供してもらえれば、テストを短期間で行えるようになります。

テストを実施するためにファームウェアを提供してもらう理由として、この2つ目の点をお客様に理解していただくことが重要になります。実際、「攻撃者はデバイスからファームウェアの抽出が困難なのに、提供する理由は何でしょうか？」と質問されることが多くあります。

攻撃者はIoTデバイスの通信をモニタリングして、仕様や実装の脆弱性を想定します。そして、その想定した脆弱性の有無を確認するために多くの不正なデータを送信します。

例えるなら、「見えない的」に対して、当たるまで闇雲にボールを投げるようなものです。

ある脆弱性を想定しては、その内容で何通りもデータを送信する必要があるため、実際に潜在する脆弱性を見つけるまで、非常に時間がかかります。

一方、ファームウェアを解析して調査することで、予め的の位置を確認できます。そして、その的に対して数回ボールを投げればよく、短期間で問題を検証できます。